3 نوع کارمند باعث نقض به داده‌ها می‌شوند

Employees who cause data breaches

3 نوع کارمند باعث نقض به داده‌ها می‌شوند :برای اکثر مردم جرائم سایبری یک تهدید خارج از سازمان به شمار می‌رود، اما امروزه شرکت‌ها و سازمان‌های بیشتری آگاه هستند که حتی معتمدترین و آموزش‌دیده‌ترین کارمندان نیز ممکن است تهدیدی بزرگ برای سازمان به شمار آیند.
در یک گزارش اخیر از شرکت Haystax Technology آمده است که 74{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از سازمان‌ها در مقابل تهدیدهای داخل سازمانی ضعف داشتند و 56{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از کارشناسان امنیتی اطمینان داشتند که تهدیدهای داخل سازمانی در سال اخیر شدت بیشتری گرفتند. درحالی‌که منشأ بیشتر حملات و آسیب‌پذیری‌ها کارمندان دلخور، سرخورده یا کینه‌ای می‌باشد، بسیاری دیگر به دلیل بی‌توجهی و کم‌کاری صورت می‌گیرد (عدم توجه به هشدار، یا دنبال کردن یک‌روند کاری یا خطای انسانی). سه نوع خطای انسانی توسط کارمندان شناسایی‌شده است که باعث نقض داده‌ها می‌گردد.

1- اقدامات بدون غرض
در موارد نقض داده‌ها کارمندان سازمانی که اهداف سوء و قصد و غرضی ندارند ممکن است به‌اندازه هکرهای حرفه‌ای تخریب ایجاد کنند. برای مثال بین سال‌های 2014 و 2015، مقامات محلی مناطق Norfolk، Suffolk و Cambridgeshire در کشور انگلستان بیش از 160 نقض داده‌ای را تجربه کردند که بیشتر آن‌ها به دلیل خطای انسانی (شامل گم‌شدن گوشی‌های کارمندان، دریافت نامه‌های کلاه‌برداری و حتی فروش کابینت اداری پر از داده‌های حساس به اشخاص ثالث) بود.
در سال 2016، شرکت آمریکایی Federal Deposit Insurance Corp. (FDIC) دچار نقض داده‌ای شد که علت آن دانلود کردن اطلاعات حساس توسط یک کارمند قبلی شرکت (بدون غرض و اهداف مخرب) بر روی یک حافظه فلش شخصی بود.
شرکت Haystax Technology اعلام داشته است که 74{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از شرکت‌کنندگان در بررسی آن‌ها در مورد این‌گونه نقض‌ها اظهار نگرانی کرده‌اند.

2- بی‌دقتی و عدم احتیاط
آیا کارمندان به هشدارهای روی desktop خود دقت می‌کنند و فوراً عکس‌العمل نشان می‌دهند یا خیر؟ یک بررسی توسط گوگل در 2013 نشان داد که 25 میلیون از هشدارها در مرورگر Chrome 70.2{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از زمان نادیده گرفته می‌شدند و دلیل آن تا حدودی کمبود اطلاعات فنی از طرف کاربر بود. این امر باعث شد که گوگل اقداماتی برای ساده‌سازی هشدارهای کاربران را پیش گیرد.
در 2012 سیستم درمانی بیمارستان St. Joseph در آمریکا به دلیل تنظیمات نامناسب امنیتی نقض گردید و باعث شد که مستندات خصوصی پزشکی آنلاین دیده شوند. به دلیل حساس بودن این اطلاعات و پرونده‌ها به دادگاه کشیدن این شرکت باعث میلیون‌ها دلار خسارت شد.

3- تخریب عمدی
به‌غیراز خطای انسانی، اقدامات مخرب کارمندان نیز ممکن است باعث نقض داده‌ای شود. در سال 2016 قانون‌گذار مخابراتی کشور انگلستان (OFCOM) کشف کرد که یکی از کارمندان آن سازمان در حال جمع‌آوری مخفیانه داده‌های شخص ثالث آن سازمان بود. این اقدام مخرب به مدت 6 سال در جریان بود. در سال 2014، فروشگاه‌های زنجیره‌ای Morrisons در کشور انگلستان با یک کارمند ناراضی مواجه شد که بیش از 100000 داده کارمندان را آنلاین پست کرد. این شرکت هنوز در دادگاه مراحل اقدامات علیه نقض را طی می‌کند.

در یک بررسی در 2016 توسط شرکت Nuix، 93{fea3c28d3890e38680ec32848aac0d612e51e58d6c76d9449e10e3199002478e} از شرکت‌کنندگان عوامل انسانی را بزرگ‌ترین خطر به حفاظت از داده‌ها دانستند و این شرکت باور دارد که سازمان‌ها ممکن است کارمندان خود را برای “عدم درک، عدم تفسیر، عدم محاسبه درازمدت سیاست‌ها و عملکردهای امنیتی” مؤاخذه کنند. این تعجب‌آور نیست که با اثر منفی و خسارت به کسب‌وکارها ناشی از نشت اطلاعات (شامل ضرر مالی و از بین رفتن سابقه سازمان) سازمان‌ها و شرکت‌ها درصدد پیدا کردن راه‌هایی برای محدودسازی و جلوگیری از سوءاستفاده‌های سیستمی هستند. چنین روش‌هایی به شرح زیر می‌باشند.
• افزایش آگاهی کارمندان
منطقی‌ترین اقدام کارفرمایان این است که اطمینان حاصل کنند که همه کارمندان از اثرات احتمالی اقدامات خود باخبر هستند و چگونه می‌توانند از “از دست رفتن غیرعمدی داده‌ها” جلوگیری کنند. بهتر است که همه کاربران را در آموزش‌های مناسب درگیر کرد به‌جای صرفاً افراد بخش فناوری سازمان.
• امن سازی و حفظ اطلاعات
یک روش مهم برای جلوگیری از ازدست رفتن داده‌ها رمزنگاری است. رمزنگاری فواید دیگری نیز دارد.
• مانیتور کردن داده‌ها و رفتارها
بررسی استفاده از کامپیوترها و رفتارهای فردی باعث می‌گردد که سازمان از فعالیت‌های غیرعادی و مخاطره‌آمیز آگاه باشد و آن‌ها را شناسایی کند. برنامه‌های BOYD یا bring your own device نیز بهتر است به‌دقت مانیتور و کنترل شوند.3 نوع کارمند باعث نقض به داده‌ها می‌شوند